Bunni DEX dieksploitasi untuk $2.4 juta apabila kelemahan kecairan memaksa penutupan

Bunni, pertukaran terdesentralisasi berbilang rangkaian, telah dieksploitasi dengan harga $2.4 juta awal hari ini, memaksanya untuk menggantung operasi sebagai langkah balas. 

Menurut pasukan projek, eksploitasi itu dikenal pasti dalam kontrak pintar berasaskan Ethereumnya, mendorong projek itu untuk segera menggantung semua fungsi protokol merentas rangkaian yang disokong.

"Kami telah menjeda semua fungsi kontrak pintar pada semua rangkaian. Pasukan kami sedang menyiasat secara aktif dan akan memberikan kemas kini tidak lama lagi. Terima kasih atas kesabaran anda," Bunni mengumumkan melalui siaran X 1 September.

Melihat data dalam rantaian, dompet yang digunakan dalam eksploitasi menunjukkan bahawa penyerang menyedut kira-kira $2.4 juta dalam stablecoin, termasuk $1.33 juta dalam USDC dan $1.04 juta dalam USDT.

Namun, gambar itu mungkin lebih suram daripada yang pertama kali kelihatan. Beberapa anggaran yang beredar di kalangan detektif blockchain mencadangkan kerugian sebenar boleh melangkaui angka itu, dengan jumlah meningkat melebihi $8 juta. Lihat di bawah.

Dana yang dicuri kemudiannya disalurkan ke dalam dua dompet, yang merupakan ciri biasa eksploitasi DeFi yang diselaraskan di mana kecairan disatukan dengan cepat.

Penyerang menyasarkan logik kecairan Bunni

Setakat masa akhbar, Bunni masih belum menerbitkan bedah siasat rasmi kejadian itu, tetapi pembangun dan penyelidik yang telah memulakan semakan awal percaya serangan itu berpunca daripada kelemahan dalam Fungsi Pengagihan Kecairan (LDF) Bunni.

Tidak seperti DEX lain seperti model standard Uniswap, Bunni menggunakan mekanisme ini untuk mengoptimumkan pulangan dengan mengagihkan kecairan merentasi julat harga. 

Menurut pengasas bersama Kyber Network Victor Tran, penyerang memanipulasi lengkung dengan melaksanakan dagangan dengan saiz yang sangat spesifik yang menipu logik pengimbangan semula untuk salah mengira nilai setiap saham pembekal kecairan.

Dalam amalan, ini membolehkan pengeksploitasi mengulangi proses beberapa kali tanpa mencetuskan penggera, secara beransur-ansur mengalirkan kolam. 

Memandangkan tiada bedah siasat rasmi telah dikeluarkan, komuniti sedang menunggu kejelasan sama ada ini adalah pengawasan pengekodan terpencil atau kecacatan seni bina yang lebih mendalam.

Eksploitasi DeFi terus menggegarkan pelabur kripto

Kejadian itu juga berikutan rentetan kelemahan yang menyasarkan platform DeFi yang baru muncul.

Hanya beberapa bulan sebelum itu, Four.Meme, pad pelancaran memecoin yang dibina di atas BNB Chain, telah disasarkan dalam eksploitasi berturut-turut pada bulan Februari dan Mac.

Serangan Mac, yang dijalankan melalui strategi manipulasi sandwic, mengalirkan kira-kira $120,000, hanya berlaku beberapa minggu selepas kerugian $183,000 yang berasingan. 

Di seluruh pasaran, aktiviti eksploitasi telah menjadi ujian yang hampir biasa. Sepanjang dua bulan kebelakangan ini sahaja, industri kripto telah kehilangan sekurang-kurangnya dana bernilai $300 juta.

Julai sahaja menyaksikan penggodam melarikan diri dengan kira-kira $142 juta merentasi 17 insiden, dengan pertukaran kripto India CoinDCX mengalami tamparan paling teruk akibat pelanggaran $44 juta.

Kerugian meningkat lagi pada bulan Ogos kepada kira-kira $163 juta yang tersebar di 16 insiden berasingan.

Yang terbesar tunggal datang apabila seorang Bitcoiner menjadi mangsa muslihat kejuruteraan sosial, menyerahkan 783 BTC bernilai $91 juta.

Pertukaran Turki Btcturk juga melaporkan kerugian kira-kira $50 juta, dengan dana disedut daripada dompet panasnya pada bulan yang sama.